De oneindige weg naar bedrijfsveiligheid

do, 07/05/2020 - 11:23

Door: Redactie WINMAG Pro

Een lek bij 900 bedrijven. Duizenden huishoudens met een beveiligingscamera die ook als babyfoon dient terwijl in feite de hele wereld mee kan kijken. NAS-systemen met onveilige VPN-functies. Zomaar een greep uit de nieuwsberichten van afgelopen maand. Steevast is er (bijna) altijd meteen een update beschikbaar om het probleem op te lossen, maar hebben de meeste eindgebruikers deze op dat moment nog niet geïnstalleerd. Wanneer is het nou een keer geregeld?

Worden de hackers steeds slimmer? Krijgen we er meer en meer hobbyïsten bij die het als een sport zien de software en protocollen te testen en waar mogelijk te kraken/omzeilen? Je krijgt snel de neiging te denken dat met het dichten van het ene lek, ergens anders een deur wagenwijd wordt opengezet. Er wordt snel een nieuwe fix uitgebracht. Wie weet wat voor ellende dat weer met zich meebrengt.

Voor veel bedrijven is thuiswerken gemeengoed geworden. Veel werkgevers moedigen dit aan en gaan hier flexibel mee om, mits dit op een verantwoorde manier gebeurt. Wat je als werkgever namelijk wilt voorkomen is je medewerkers met een soort kuisheidsgordel de deur uit sturen. Thuiswerken moet flexibel zijn. Iemand moet plaats- en tijdonafhankelijk kunnen inloggen en aan de slag kunnen, al is het maar voor tien minuten. Dan heeft het geen zin als er een ingewikkelde toegangscontrole is die te veel tijd in beslag neemt.

Nuances

We moeten onszelf dus beschermen tegen onheil van buitenaf, en het liefst zo eenvoudig mogelijk. Met alle eerdergenoemde recente nieuwsberichten, lijkt geen één oplossing écht veilig. Iets wat vandaag voldoet, kan morgen een enorm risico betekenen. Een gedegen ICT-beleid omtrent security is daarom de eerste stap. Wie is er verantwoordelijk voor het installeren van beveiligingsupdates? Wanneer? Hoe vaak? En geldt dit dan ook voor software die een medewerker op zijn thuis-PC heeft geïnstalleerd om af en toe vanaf de zolderkamer iets te kunnen doen?

VPN-gevaar

Een dergelijk beleid is slechts stap één. Zeer recent is gebleken dat duizenden thuiswerkers (alleen al in Nederland) gevaar lopen door gebruik te maken van een Fortinet VPN-verbinding, terwijl dit lek in de update van mei 2019 al gedicht is. Hoe kan dat toch? Waarom is deze update bij ruim 900 bedrijven niet geïnstalleerd? Het zal niet zo zijn dat geen van deze 900 bedrijven een beleid omtrent ICT heeft. Blijkbaar is het wel zo dat geen van deze 900 bedrijven het beleid strak genoeg hanteren.

Dat brengt ons naar stap twee. Stap twee is het volgen van het beleid en dit ook blijven doen. In dit geval gaat het om plannen, uitvoeren, controleren en je beleid hierop aanpassen. Het klinkt bijna net zo makkelijk als een ISO27001 certificaat. Het certificaat halen is één, er als organisatie daadwerkelijk beter (en veiliger) van worden het tweede.

Om terug te komen op de vraag: wanneer is het nou geregeld? Niet. Het is nooit geregeld. Stel dus een beleid op (of laat je hierover informeren) en volg dit beleid consequent. Dat is écht de enige manier om rustig te kunnen slapen en niet wakker te worden met allerlei nieuwsberichten over jouw data die mogelijk op straat ligt.